本周五,人工智能巨头OpenAI披露了一起安全事件,称其内部工具下载了被恶意篡改的合法开源软件库更新。据Google方面指出,此次大规模黑客攻击活动与一个朝鲜黑客组织存在密切联系。
OpenAI在周五晚间发布的博客文章中详细说明了情况。3月31日,黑客劫持了一名开发人员的账户,并向广泛使用的JavaScriptHTTP请求库Axios(注:该库与新闻媒体Axios无关)发布了两个受感染的更新。在异常被发现之前,OpenAI用于为MacOS应用程序签署证书的GitHub工作流程不幸下载了该恶意更新。
该公司指出,包括ChatGPT、Atlas和Codex在内的MacOS应用程序用户可能会受到此次事件的影响。这一攻击的潜在威胁在于,黑客一旦获得系统的访问权限并窃取相关证书,便能制造出拥有合法后端证书的伪造OpenAI应用程序。这些伪造应用具有极强的迷惑性,足以欺骗设备和苹果AppStore,使其误认为那是官方正版。
尽管潜在风险较高,但OpenAI明确表示,目前尚未发现任何黑客利用窃取证书发布伪造应用的实际案例,也没有任何证据表明用户的个人数据、公司的知识产权或内部核心系统遭到了破坏。此外,iOS、Android、Windows及其他平台的应用程序目前均未发现受到波及的迹象。
业内分析认为,这起事件凸显了一个新的安全现状:如今的人工智能公司不仅面临着针对AI技术的特定威胁,同时也已成为传统软件供应链攻击的重点狩猎对象。
出于安全和谨慎考虑,OpenAI宣布将于5月8日正式停止对旧版MacOS应用程序的支持。公司为用户提供了为期30天的更新窗口期,若逾期未更新,因相关证书被吊销,旧版应用可能会被阻止进行新的下载和首次启动。目前,该安全事件仍在持续跟进与发展中。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】